G Suite (Google Workspace) の設定

KeeperオンプレミスSSOコネクトをGoogleと連携するように設定して、シームレスで安全なSAML 2.0認証を実現する方法。

Google Workspaceとの完全なクラウドベースの統合については、KeeperクラウドSSOコネクトをご参照ください

G Suiteは、Keeperとの以下の統合をサポートしています。

  • SAML 2.0を使用したSSO認証

  • SCIMを使用した自動プロビジョニング

SSO、SSO+SCIM、SSOを使用しないSCIMを設定できます。

G Suiteの設定

G Suite管理コンソールにアクセスするには、https://gsuite.google.comにログインします。

G Suiteにログイン

アプリ画面にアクセスします。

アプリ (Apps)

SAMLアプリをクリックします。

SAMLアプリ (SAML Apps) にアクセス

右下の (+) ボタンをクリックして、SAMLアプリを作成します。

SAMLアプリケーションを追加

Keeperアプリを設定

Keeperを検索して、アプリケーションを選択します。

Keeperを検索

IdP情報

Google IdP情報 (Google IdP Information) 画面で、IDPメタデータをダウンロードして、コンピュータに保存します (注意: これはKeeper SSOコネクト画面にドラッグ&ドロップする必要があるファイルです)。

IdPメタデータをダウンロード

サービスプロバイダの詳細

サービスプロバイダの詳細画面には、入力フィールドがいくつかあります。 {ホスト名 (host name)}と{ポート (port)}は、SSOコネクトインスタンスで使用する予定の値に置き換えます。

ACS URL、エンティティID (Entity ID) を入力し、「署名付きレスポンス (Signed Response)」 を選択します。 たとえば、以下の設定では、sso2.lurey.comがホスト名、8443がポート番号です。

サービスプロバイダの詳細情報

「署名付きレスポンス (Signed Response)」のチェックボックスもオンにする必要があります。

属性マッピング

属性マッピング (Attribute Mapping) 画面で、下に表示されているとおりに3つのマッピングがあることを確認します。 下に表示されているように、名 (First)、姓 (Last)、メール (Email) の各フィールドを「ファーストネーム (First Name)」、「ラストネーム (Last Name)」、「プライマリメール (Primary Email)」に設定します。

属性マッピング

カスタムアプリを選択した場合は、「新規マッピングを追加 (Add New Mapping)」 をクリックして、次の3つのフィールドを作成する必要があります。名 (First)、姓 (Last)、メール (Email)。スペルは正確に入力する必要があります。

完了 (FINISH) を選択して、G Suiteの設定は完了です。ただし、Keeper SSOコネクトでIDPデータをインポートする必要があることが通知されます。

SSOコネクトを有効化

ユーザーに対して、Keeper SSOコネクトを有効にするには、詳細 (more) ボタンを選択して有効にします。

ユーザーに対し、Keeperを有効化

または、Keeper SAMLアプリをクリックしてサービスを編集し、アクセスできる特定のグループを設定できます。

サービスステータスを編集

G Suiteメタデータをインポート

Keeper SSOコネクトアプリケーションの設定画面に戻り、メタデータファイルをKeeper SSOコネクトのSAMLメタデータ (SAML Metadata) セクションにドラッグアンドドロップします。

保存 (Save) を選択して、すべてのパラメータがG SuiteのSAML接続画面と一致することを確認します。

保存すると、SSL証明書とその他のパラメータは設定済みであると見なして、Keeper SSOコネクトインスタンスが完全に動作可能とステータス (Status) 画面に表示されるはずです。

完全に設定されたSSOコネクトのステータス

Google G Suiteのシングルログアウト (SLO) 設定に関する注意

現時点で、G Suiteはアプリケーションレベルで「シングルログアウト」に対応していません。 つまり、Keeperから明示的にログアウトしたユーザーは、他のGoogleサービスからもログアウトされることを意味します。 シングルログアウト (SLO) は、多くのIDプロバイダで提供されている機能で、特定のアプリケーションからユーザーをログアウトさせます。 残念ながら、Googleはまだこの機能に対応していません。

すべてのSAMLアプリからの完全なSAMLログアウトを防止したい場合は、前の手順でIDPタイプをデフォルト (Default) に変更する必要があります。Googleには設定しないでください。Googleに設定すると、SAMLログアウト時にGmailおよびその他すべてのGoogleアプリからログアウトしてしまいます。

GoogleからログアウトしないようにIdPをデフォルトに変更

Keeperの「ログアウト (Logout)」をクリックしてもGoogleからログアウトしないようにしたい場合は、SSOコネクトの設定を変更して、ドロップダウンでGoogleではなく「デフォルト (Default)」プロバイダを選択するだけです。ただし、セキュリティ面の影響に注意する必要があります。

  • Keeperのセッションはログアウトされますが、ブラウザのGoogleセッションがアクティブな間は、ボルトに再度ログインしても、Googleのログインクレデンシャルの再入力は求められません。

  • ユーザーの観点からは、流れが中断しにくいため、使い勝手がよくなります。

  • セキュリティの観点からは、Googleアカウントがユーザーのブラウザ上のKeeperボルトのセッション処理を制御していることにご注意ください。

SSOの設定が完了しました。

これでKeeper SSOコネクトとG Suiteの設定は完了です。 以下の手順に従い、Googleアカウントを使用してKeeperにログインできるようになりました。

  1. Keeperボルトを開き、「法人SSOログイン (Enterprise SSO Login)」をクリックします。

  2. SSOの設定時にKeeper管理コンソールに指定した企業ドメインを入力します。 SSOコネクトのステータス画面では 「SSOコネクトドメイン (SSO Connect Domain)」 という名前になっています。

  3. 「接続 (Connect)」 をクリックし、G Suiteのクレデンシャルでログインします。

エンドユーザーの操作手順 (Keeperが起点となるログインフロー) については、こちらのガイドをご参照ください。

SSOユーザー用のエンドユーザー向けビデオツアーはこちらです。

次に、SCIMを使用してユーザープロビジョニングを設定する方法をご紹介します。

SCIMを使用したユーザープロビジョニング

ユーザープロビジョニングには、ライフサイクル管理のための機能がいくつか用意されています。

  • G Suiteに追加された新規ユーザーには、Keeperボルトを設定するための招待メールが送信されます。

  • ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。

  • ユーザーがプロビジョニング解除されると、Keeperアカウントは自動的にロックされます。

Googleは、Keeperチームに対するグループプロビジョニングをサポートしていません。 この機能が実装されれば、G SuiteとKeeper間で同期されているチームにKeeperユーザーを配置できるようになります。

Keeper管理コンソールから、G Suiteノードのプロビジョニング (Provisioning) タブに移動し、メソッドを追加 (Add Method) をクリックします。

SCIMプロビジョニングメソッドを追加

SCIMを選択し、次へ (Next) をクリックします。

SCIMプロビジョニングメソッドを追加

「プロビジョニングトークンを作成 (Create Provisioning Token)」をクリックします。

プロビジョニングトークンを作成

次の画面に表示されるURLとトークンは、G Suite管理コンソールでGoogleに送信されます。 URLとトークンを一時的にどこかのファイルに保存して、保存 (Save) をクリックします。

URLとトークンを保存

これら2つのパラメータ (URLとトークン) を必ず保存してから、保存 (Save) をクリックしてください。そうしないと、プロビジョニングが失敗します。

G Suite管理コンソールに戻り、ホーム (Home) > アプリ (Apps) > SAMLアプリ (SAML Apps) に移動して、設定したKeeperアプリの「プロビジョニング可能 (Provisioning Available)」というテキストをクリックします。

Keeperプロビジョニングに移動

ユーザープロビジョニングを設定 (Set Up User Provisioning) をクリックします。

上記で保存したプロビジョニングトークンを次の画面に貼り付けて、次へ (Next) をクリックします。

プロビジョニングトークンを貼り付け

上記で保存したURLをエンドポイントURLフィールドに貼り付けて、次へ (Next) をクリックします。

エンドポイントURLを貼り付け

マップ属性 (Map attributes) はデフォルト設定のままにして、次へ (Next) をクリックします。

Keeperを特定のグループに割り当てたい場合は、次の画面でプロビジョニングスコープを設定できます。 SSOをご使用の場合は、プロビジョニングアクセス権を持つグループにKeeper SSOアクセス権も割り当てるようにしてください。 完了したら、完了 (Finish) をクリックします。

プロビジョニングスコープ

以下のエラーメッセージは無視してください。これはGoogleのバグです。

このGoogleのバグは無視

次に、プロビジョニングを有効化できます。

プロビジョニングを有効化

「プロビジョニングを有効化 (Activate Provisioning)」をクリックしてオンにする必要がある場合があります。

確認してプロビジョニングを有効化

ユーザープロビジョニング (User Provisioning) の表示がオン (ON) になります。

ユーザープロビジョニングのステータス

ユーザープロビジョニングの設定が完了しました。 今後、G SuiteでKeeperを使用するよう設定され、プロビジョニングスコープの定義に含まれる新規ユーザーは、Keeperへの招待状を受け取り、G Suiteで管理されます。

SSOを使用しないユーザープロビジョニング

G Suite SCIMプロビジョニングを使用して、ユーザーをKeeperにプロビジョニングしたいが、SSOを使用してユーザーを認証したく「ない」場合は、以下の手順に従ってください。

  • このガイドを使用し、SSO設定の手順に従って、管理するドメイン名を指すSSO urlとエンティティIDを使用しますが、実際には実行中のSSO Connectインスタンスではありません (例: null.mycompany.com)。

  • G SuiteでKeeperアプリケーションを設定したら、このドキュメントに記載された自動プロビジョニングメソッドをオンにします。

Google証明書の更新

SAMLアサーションに署名するためのGoogleのIdP x.509証明書は、5年後に失効するように設定されています。Google Workspaceの証明書を管理 (Manage Certificates) セクションで、有効期限をメモし、今後のカレンダーにアラートを設定してサービスが停止しないようにしておく必要があります。

証明書の有効期限が近い場合、または証明書が失効してしまった場合は、以下の手順に従ってください。

  1. Google Workspace管理コンソール (https://admin.Google.com) にログインします

  2. アプリ (Apps) をクリックし、ウェブアプリとモバイルアプリ (Web and Mobile Apps) を選択します

  3. Keeperアプリを選択します

  4. サービスプロバイダを展開します

  5. 「証明書を管理 (Manage Certificates)」をクリックします

  6. 「証明書を追加 (ADD CERTIFICATE)」をクリックします

  7. 「メタデータをダウンロード (DOWNLOAD METADATA)」をクリックします

  8. メタデータファイルを保存します。 これがIdPのメタデータです。

  9. Keeper管理コンソールにログインします

  10. 管理者 (Admin) > SSOノード (SSO Node) > プロビジョニング (Provisioning) > SSOクラウドプロビジョニングメソッドを編集 (Edit SSO Cloud provisioning method) に移動します

  11. Google IdPメタデータをKeeperにアップロードします

このトピックの詳細は、以下のGoogleサポートページをご参照ください。

https://support.google.com/a/answer/7394709

Last updated